Recent bezocht ik het evenement van de Wireless LAN Association in Nederland, waar Dan Harkins over WPA3 sprak. Hier werd zichtbaar dat WPA3 een aantal problemen kan oplossen, maar voordat ik hier dieper op inga, wil ik de achtergrond in draadloze netwerk beveiliging schetsen. De getrainde wireless engineers slaan deze paragraaf maar over!
Wat is het probleem?
Veel mensen weten inmiddels wel dat een draadloos netwerk afgeluisterd kan worden. Het draadloze netwerk bestaat immers uit radiogolven die iedereen kan opvangen. Met een wachtwoord (ook wel pre shared key genoemd) beveiligen we het netwerk. Deze beveiliging heeft vrijwel iedereen inmiddels ingesteld en hierdoor wordt de suggestie gewekt dat we veilig zijn.
Maar vergelijk het eens met de sleutel van je huis. Je geeft 10 vrienden allemaal een sleutel van je huis, zodat ze allemaal toegang hebben. Maar als de deur open wordt gemaakt, weet je niet welke van de 10 vrienden dit gedaan heeft, want ze hebben allemaal exact dezelfde identieke sleutel. Als je nu denkt: “Bestaat er dan geen oplossing om met verschillende sleutels toch hetzelfde slot open te maken….?” , lees dan vooral verder!
Met name in openbare ruimtes, restaurants en hotels worden de wachtwoorden vaak gedeeld met iedereen. Ze staan op de menukaarten, bij de receptie, achter de bar of op prachtige metalen bordjes die in de muur geschroeft zijn (hoe vaak zou het wachtwoord daar wijzigen?) , kortom: ideaal voor kwaadwillende mensen of hackers die door traffic sniffing of een man-in-the-middle-attack je persoonlijke gegevens willen bemachtigen.
Wat is de oplossing?
Wi-Fi Enhanced Open is een onderdeel van WPA3 waarbij je verbinding automatisch wordt versleuteld. Hierbij hoef je als gebruiker niets te doen, het lijkt qua gebruiksgemak op een volledig open netwerk SSID. Maar zodra je online gaat, wisselen je operating systeem (Windows, Linux, IOS of Android bijvoorbeeld) en de wifi router een unieke encryptie sleutel uit. Dit is vastgelegd in de Opportunistic Wireless Encryption (OWE) standaard, waar Dan Harkins aan mee heeft geschreven.OWE is een uitbreiding op de IEEE 802.11 Wi-Fi standaard. Clients en accesspoints wisselen een Diffie-Hellman key uit tijdens het opbouwen van de verbinding. Deze “unauthenticated Diffie-Hellman” is strict genomen nog niet helemaal veilig, maar is vele malen veiliger dan een gedeeld wachtwoord (met WPA2-PSK). Met OWE geeft de Diffie-Hellman exchange een unieke sleutel aan elke client, wat betekend dat niemand anders het verkeer zomaar kan afluisteren, modificeren of reproduceren (replay attack).
Conclusie
Inderdaad lijkt OWE een ideale oplossing voor hotspots die voorheen moesten werken zonder authenticatie of met een gedeelde sleutel. In omgevingen waar de security behoefte nog groter is, kan OWE gebruikt worden om een captive portal te benaderen, waarna een geauthenticeerde gebruiker naar een nog veiliger netwerk wordt verbonden. We moeten helaas nog wel even wachten voordat we direct WPA3 en OWE kunnen aanzetten, want de verwachting is dat veel apparaten die vanaf 2e helft 2019 geproduceerd worden, pas ondersteuning voor WPA3 gaan leveren.